justyss200 Opublikowano 19 Maja 2016 Zgłoś Udostępnij Opublikowano 19 Maja 2016 Witam, Bardzo proszę o pomoc w naprawię pendrive, ponieważ mam tam pliki z uczelni, które pasowałoby odzyskać. Byłam dzisiaj w punkcie wydruku, a gdy wróciłam do domu okazało się, że coś niefajnego podziało mi się z pendrivem. Nie wiem czy mi go zawirusowali, czy co, ale nie działa na żadnym komputerze . W pendrive pokazuje się, że jest wypełniony prawie full ale jak na niego wchodzę to nic nie ma oprócz folderu z taką samą nazwą i pokazuję się błąd Rundll. Widziałam na forum, że był już taki temat, próbowałam robić tak jak inni zalecali, ale nic to nie dało, bo podejrzewam, że pod każdy komputer muszą być inne zalecenia, dlatego proszę o pomoc ! Załączam plik z usbfix UsbFix Listing 3 DAWID-KOMPUTER.txt Odnośnik do komentarza
picasso Opublikowano 20 Maja 2016 Zgłoś Udostępnij Opublikowano 20 Maja 2016 Log z USBFix to nie wszystko, należy też podać raporty z FRST. Pendrive owszem wykazuje częściowe ślady infekcji, tzn. skrót utworzony przez infekcję, tylko że na pendrive nie ma nic więcej niż folder System Volume Information (od Przywracania systemu): L:\ -> Removable disk # 4 Gb (1 Gb free - 31%) [Lexar] # FAT32 ################## | L:\ - Removable drive (FAT32) | [19/05/2016 - 13:34:02 | N | 1 Ko] - L:\Lexar (4GB).lnk [24/01/2016 - 23:28:18 | D] - L:\System Volume Information Należy usunąć plik Lexar (4GB).lnk (czyli ten skrót), co zlikwiduje błąd rundll, ale nie wiem co się stało z danymi, bo wg raportu nie występuje folder "bez nazwy" w którym powinny być dane przesunięte przez infekcję... Miejsce zajmuje pewnie zawartość System Volume Information. Mówisz, że podpatrywałaś podobne tematy - co konkretnie robiłaś na urządzeniu? Jedyne co mogę wywnioskować z raportu, to że prawdopodobnie uruchomiłaś komendę zdejmowania atrybutów HS, ponieważ wszystkie obiekty na pendrive są widoczne (w normalnych okolicznościach folder System Volume Information jest ukryty). Odnośnik do komentarza
justyss200 Opublikowano 20 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2016 Od początku nie miałam na tym pendrive folderu bez nazwy własnie po "zabawie" z otl i adwclener pojawił mi się pusty folder ale nic w nim nie bylo zadnych plikow i folder system volume information. Czyli bez szans odzyskac pliki ?? Log z Frst Nie wiem dlaczego pokazuje mi caly czas ze pendrive jest pełny System Volume zajmuję 1 Kb i nie mogę go usunąc nie wiem dlaczego Próbowałam tych porad, ale nie doszłam do końca, bo nie umiałam pozmieniać wartości pod mój komputer https://www.fixitpc.pl/topic/18859-b%C5%82%C4%85d-rundll-infekcja-na-pendriveach/ Addition_20-05-2016_10-16-36.txt FRST_20-05-2016_10-16-36.txt Odnośnik do komentarza
picasso Opublikowano 20 Maja 2016 Zgłoś Udostępnij Opublikowano 20 Maja 2016 Nie wiem dlaczego pokazuje mi caly czas ze pendrive jest pełny System Volume zajmuję 1 Kb i nie mogę go usunąc nie wiem dlaczego vs. Miejsce zajmuje pewnie zawartość System Volume Information. Foldery System Volume Information są domyślnie ograniczone przez uprawnienia, a to oznacza także że nie ma dostępu do faktycznego rozmiaru folderu. Uruchom SpaceSniffer. Konieczny prawy klik i "Uruchom jako administrator", by został obliczony ten element. Do skanu wprowadź ścieżkę pendrive. Wyniki zajętości pokazane w SpaceSniffer powinny być różne od tego co widzisz z poziomu eksploratora Windows. Od początku nie miałam na tym pendrive folderu bez nazwy własnie po "zabawie" z otl i adwclener pojawił mi się pusty folder ale nic w nim nie bylo zadnych plikow i folder system volume information. (...) Czyli bez szans odzyskac pliki ?? Czy on na pewno był "pusty" (może były tam dane tylko ukryte)? Czy mam rozumieć, że ten "pusty" folder usunęłaś? Ja nie widzę obecnie na pendrive żadnych innych danych, więc jeśli były na nim wcześniej jakieś dane (nie wiadomo gdzie), to już tylko soft do odzyskiwania danych. W instrukcji tworzenia raportów FRST było wyraźnie napisane, by nie wyciągać raportów z folderu C:\FRST\Logs, raporty bieżące są tworzone tam skąd uruchamiasz FRST (w tym przypadku folder Pobrane). Brakuje też trzeciego obowiązkowego pliku FRST Shortcut. Ale to sobie już darujmy. System jest zainfekowany adware PriceFountain, przypuszczanie nabytym z dobrychprogramów: KLIK. To nie ma żadnego związku z problemem pendrive, ale wymaga interwencji. Pod tym kątem: 1. Odinstaluj starą wersję Adobe Flash Player 10 ActiveX oraz zbędny program HP Customer Participation Program 13.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {377C3AB5-051C-4370-AAC8-5CCD4ACF38BB} - System32\Tasks\{327C31B6-8F85-31D4-D058-4A3E52DB21AA} => C:\Users\Dawid\AppData\Roaming\{327C3~1\Updater.exe Task: {67F5F982-903C-496A-90A6-4186D3FB1FB2} - System32\Tasks\DawidEditorializersRetrogressV2 => Rundll32.exe ProgrammingCaveator.dll,main 7 1 Task: C:\Windows\Tasks\{327C31B6-8F85-31D4-D058-4A3E52DB21AA}.job => C:\Users\Dawid\AppData\Roaming\{327C3~1\Updater.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy FF NewTab: FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF user.js: detected! => C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\fl2qoffh.default\user.js [2016-03-09] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1530226690-3561010622-3088273119-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\Temp C:\Users\Dawid\AppData\Local\EditorializersRetrogress EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne. Odnośnik do komentarza
justyss200 Opublikowano 20 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2016 (edytowane) W SpaceSniffer również pokazało mi tylko system volume o pojemności 4kb, a w eksploratorze pokazuje 1kb Usunełam ten zainfekowany folder Lexar.ink jak Pani zalecała EDIT: Udało mi się odzyskać pliki ! użyłam Undeletemyfiles. Jeżeli chodzi o zainfekwanie pendrive, to co mam dalej zrobić, żeby nie pokazywało mi, że pendrive jest pełny ? Fixlog.txt Edytowane 20 Maja 2016 przez Rucek Scalam posty Odnośnik do komentarza
picasso Opublikowano 20 Maja 2016 Zgłoś Udostępnij Opublikowano 20 Maja 2016 W SpaceSniffer również pokazało mi tylko system volume o pojemności 4kb, a w eksploratorze pokazuje 1kb Być może SpaceSniffer też nie miał dostępu, a być może są błędy struktury plików. Jeżeli chodzi o zainfekwanie pendrive, to co mam dalej zrobić, żeby nie pokazywało mi, że pendrive jest pełny ? Skoro pliki już odzyskałaś i zabezpieczyłaś (rozumiem, że gdzie indziej niż na pendrive), to proponuję sformatować urządzenie. Jeśli chodzi o Fix FRST, to pomyślnie wykonany. Jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
justyss200 Opublikowano 20 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2016 Sformatowałam pendriva, mam nadzieję, że żadne "resztki" infekcji nie zostały. Bardzo dziękuję za pomoc ! log.txt Odnośnik do komentarza
picasso Opublikowano 20 Maja 2016 Zgłoś Udostępnij Opublikowano 20 Maja 2016 Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi